Co operator infrastruktury krytycznej musi wiedzieć o nowej ustawie?

Zdjęcie źródło: Adobe Stock

Projekt nowej Ustawy o ochronie ludności oraz o stanie klęski żywiołowej budzi kontrowersje różnego rodzaju. Od bardzo widocznych w Internecie głosów oburzenia w kwestii art. 43, po mniej widoczne, ale znacznie ważniejsze dyskusje o demontażu systemu zarządzania kryzysowego. Czy nowe przepisy w jakikolwiek dotkną operatorów IK? Tak, ponieważ, zmiany są daleko idące, choć na doprecyzowanie wielu wątków będziemy musieli poczekać do powstania odpowiednich uchwał i rozporządzeń, to już teraz widać, że one nastąpią. Jeśli oczywiście ustawa wejdzie w życie, co na razie nie jest przesądzone.

Wraz z wejściem w życie Ustawy o ochronie ludności oraz o stanie klęski żywiołowejtraci moc m.in. ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. z 2020 r. poz. 1856, z 2021 r. poz. 159 oraz z 2022 r. poz. 583), ponadto ww. ustawa zmienia ustawę z dnia 22 sierpnia 1997 r. o ochronie osób i mienia. Czyli przestaje obowiązywać dokument absolutnie kluczowy dla operatorów IK. Pytanie, co dalej z infrastrukturą krytyczną?

Zmiany dotyczące infrastruktury krytycznej

Po pierwsze, ustawa na nowo określa systemy wchodzące w skład IK, z dotychczasowych jedenastu, pozostaje dziewięć: zaopatrzenia w energię, surowce energetyczne i paliwa; łączności; sieci teleinformatycznych; finansowe; zaopatrzenia w żywność; zaopatrzenia w wodę; ochrony zdrowia; transportowe; produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych. Ustawa nie określa kryteriów ani rodzajów kryteriów kwalifikujących obiekty, urządzenia, instalacje i usługi do kategorii IK, ani też nie precyzuje, czy lista kryteriów pozostaje niejawna (jak dotychczas), a jedynie wskazuje, iż „Rada Ministrów przyjmuje, w drodze uchwały, szczegółowe kryteria pozwalające wyodrębnić obiekty, urządzenia, instalacje i usługi […], a także wskazuje ministrów odpowiedzialnych za te systemy” [art. 115].

Po drugie, znacząca zmiana dotyczy głównego organu koordynującego nie tylko system zarządzania kryzysowego, ale przede wszystkim ochronę infrastruktury krytycznej, rozumianą jako: „wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie”.

Ustawa o ochronie ludności oraz o stanie klęski żywiołowej likwiduje Rządowe Centrum Bezpieczeństwa (RCB), którego zadaniem jest m.in. „realizacja zadań planistycznych i programowych z zakresu ochrony infrastruktury krytycznej oraz europejskiej infrastruktury krytycznej” (art. 11.2 ustawy o zarządzaniu kryzysowym).

Operatorzy IK mogą nie kojarzyć zadań RCB i czynności wykonywanych przez dyrektora RCB, ale doskonale kojarzą NPOIK (Narodowy Plan Ochrony Infrastruktury Krytycznej) i załączniki do niego, przede wszystkim „Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje”, będące swoistym drogowskazem w kwestii zapewnienia ochrony IK na wszystkich sześciu poziomach bezpieczeństwa. Nie ma w polskim systemie prawnym innej instytucji, która opracowywałaby podobnego typu dokumenty i wraz z jej likwidacją operatorzy IK tracą swego rodzaju bazę wiedzy. Ustawa nie przewiduje bowiem ani nowej wersji NPOIK (który dotychczas był aktualizowany nie rzadziej niż raz na dwa lata), ani żadnego odpowiednika tego dokumentu. Jest to o tyle niepokojące, że w związku z pojawianiem się nowych zagrożeń (np. bezzałogowe statki powietrzne, tzw. drony) brakuje wskazówek i standardów postepowania w zakresie ochrony IK.

Po trzecie, budzące popłoch (ze względu na fakt, że ich sporządzenie i uzgodnienie wymaga sporej ilości pracy i czasu) w wielu przedsiębiorstwach plany ochrony IK także ulegną istotnym zmianom. Dotychczas wymagania odnośnie do planu ochrony IK określało (oprócz ustawy o zarządzaniu kryzysowym) Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie planów ochrony infrastruktury krytycznej. Ustawa o ochronie ludności oraz o stanie klęski żywiołowej wprowadza „Plan zapewnienia ciągłości funkcjonowania infrastruktury krytycznej”, który zawiera:

„1) nazwę i dane o lokalizacji infrastruktury krytycznej;

2) dane pozwalające zidentyfikować operatora infrastruktury krytycznej, w tym: nazwę, adres, siedzibę, numery REGON, NIP i KRS;

3) dane pozwalające zidentyfikować zarządzającego infrastrukturą krytyczną w imieniu operatora infrastruktury krytycznej, w tym: nazwę, adres, siedzibę, numery REGON, NIP. KRS;

4) dane służbowe osoby, o której mowa w art. 121;

5) imię i nazwisko osoby sporządzającej plan;

6) inne dane o infrastrukturze krytycznej, w tym:

a) charakterystykę procesów, stosowanych technologii i podstawowe parametry techniczne,

b) plan lub mapę z naniesioną lokalizacją obiektów, urządzeń, instalacji lub systemu, o którym mowa w art. 114, i zaznaczonymi elementami zapewniającymi bezpieczeństwo infrastruktury krytycznej,

c) funkcjonalne połączenia z innymi obiektami, instalacjami, urządzeniami lub usługami;

7) charakterystykę zagrożeń dla infrastruktury krytycznej oraz oceny ryzyka ich wystąpienia wraz z przewidywanymi scenariuszami rozwoju zdarzeń;

8) charakterystykę zależności infrastruktury krytycznej od pozostałych systemów infrastruktury krytycznej oraz możliwości zakłócenia jej funkcjonowania w wyniku zakłóceń powstałych w pozostałych systemach infrastruktury krytycznej;

9) warianty działania, wraz ze wskazaniem możliwości wykorzystania zasobów własnych oraz zasobów właściwych terytorialnie organów, w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej, pozwalające na zapewnienie ciągłości jej funkcjonowania oraz odtwarzania jej zasobów” [art. 120].

Widać zatem wyraźnie, że choć zmiana się nazwa dokumentu, większość wymaganych przez cytowane rozporządzenia nie ulega zmianom. Bardzo ważny jest tu także artykuł 120.3; „Operator infrastruktury krytycznej będący jednocześnie operatorem usługi kluczowej w rozumieniu art. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369, z 2021 r. poz. 2333 i 245 oraz z 2022 r. poz. 655) uwzględnia w planie zapewnienia ciągłości infrastruktury krytycznej dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych, określoną w przepisach wydanych na podstawie art. 10 ust. 5 tej ustawy”.

Przeczytaj także: Security Forum Szczecin już 20 października >>

Identyczny zapis znalazł się w znowelizowanej Ustawie o zarządzaniu kryzysowym i został utrzymany. Biorąc pod uwagę fakt, że spełnienie obowiązków narzucanych przez tzw. cyberustawę jest znacznie trudniejsze niż sporządzenie planu ochrony IK (lub Planu zapewnienia ciągłości funkcjonowania IK), droga do uzgodnienia planu jest długa i trudna, i to się akurat nie zmieniło.

Nowe zadania operatorów infrastruktury krytycznej

Operator ma na sporządzenie planu 9 miesięcy od daty otrzymania decyzji o znalezieniu się w wykazie IK, a plan, podobnie jak dotychczas, musi zostać także uzgodniony z innymi podmiotami, których lista została skrócona do siedmiu (Komendant Wojewódzki Policji, Komendant Wojewódzki PSP, Wojewoda, Dyrektor Regionalnego Zarządu Gospodarki Wodnej, Wojewódzki Inspektor Nadzoru Budowlanego, Państwowy Wojewódzki Inspektor Sanitarny, Dyrektor Urzędu Morskiego). Bardzo istotna zmiana dotyczy instytucji, która ostatecznie zatwierdza (lub nie zatwierdza) dokument. W sytuacji, gdy przestaje istnieć RCB, zadanie to spada na ministra, we właściwości którego znajduje się system, w skład którego wchodzi dany obiekt, urządzenie, instalacja lub usługa.

Kolejne novum dotyczy faktu, iż „Operator infrastruktury krytycznej niezwłocznie informuje o zatwierdzeniu planu zapewnienia ciągłości funkcjonowania infrastruktury krytycznej ministra właściwego do spraw wewnętrznych oraz Szefa Agencji Bezpieczeństwa Wewnętrznego”. Kolejny ważny przepis dotyczy aktualizacji ww. planów, która odbywa się w zależności od potrzeb, nie rzadziej jednak niż raz na 3 lata. Warto podkreślić, że wszystkie te zmiany nastąpią, jeśli Ustawa o ochronie ludności oraz o stanie klęski żywiołowej wejdzie w życie.